セルフサービス登録

クライアントが SCEP を使わずに自身のために証明書を登録するには、SCEPman REST API を使用できます。ただし、任意の証明書を登録できてはならず、自身の識別情報に結び付けられた証明書のみを登録できるようにする必要があります。したがって、SCEPman API にはこれを可能にするためにユーザー/グループに割り当てられるロールがあります。

前提条件

• このロールは SCEPman 2.9 以降に含まれています。これより前に SCEPman をインストールした場合は、次の インストールスクリプト を再度実行してこのロールを表示させる必要があります。

セルフサービス権限の割り当て

SCEPman-api のアプリ登録でセルフサービスロールが存在することを確認できます:

SCEPman-api のエンタープライズアプリケーションでユーザーおよびグループに対するロール割り当てを作成できます。

証明書登録リクエスト

セルフサービスロールを持つユーザーは、次の属性を持つ証明書のみを登録できます。（これらは、たとえば SCEP プロファイルを介して証明書を登録する際に選択する属性と同じです）。証明書の有効性は、Intune または Entra ID のデバイスオブジェクト、または Intune に登録された証明書と同様に Entra ID のユーザーオブジェクトに結び付けられます。 Intune たとえば）。証明書の有効性は、Intune または Entra ID のデバイスオブジェクト、または Intune 登録済み証明書と同様に Entra ID のユーザーオブジェクトに結び付けられます。

デバイス証明書

Subject Alternative Name (SAN) に次のいずれかを含める必要があります IntuneDeviceID://<IntuneDeviceId> という形式の URI として、ここで <IntuneDeviceId> 中括弧なしのものは Intune におけるデバイスのデバイス ID です。あるいは Subject の CN フィールドが Entra ID のデバイス ID または Intune デバイス ID でなければなりません。

これでこのプロファイルをデバイスに展開できます。信頼された証明書プロファイルと同じグループを割り当てに使用してください。